27 lipca 2019

Dziwne te automaty? „Płaci się tylko wkładając kartę” – wkurza się czytelnik. I czyta regulamin. „Bo tak działa system” – pisze bank

„Czy to bezpieczne, że niektóre transakcje kartą przebiegają zawsze bez podania PIN-u? Dlaczego nie mogę wyłączyć takiej możliwości?” – zapytał mnie czytelnik, który nie może się nadziwić, że w samoobsługowym punkcie do płacenia za parking – niezależnie od kwoty – wystarczy włożyć kartę do maszyny, by obciążyć konto. „Tak działa system” – rozkładają ręce w banku

Marzeniem mojego czytelnika jest, by każda transakcja kartą powyżej 50 zł była potwierdzana PIN-em. Jego zdaniem tak jest bezpieczniej, a bezpieczeństwo to rzecz, której mój czytelnik wymaga od banku najbardziej.

Ja mam inaczej – za jedną z największych zdobyczy XXI wieku uważam to, że mogę płacić kartą zbliżeniowo i bez PIN-u. I nie mogę się już doczekać podwyższenia limitu transakcji bez PIN z 50 zł do 100 zł. W zupełności wystarczy mi, że ze względu na tę właściwość karty moja odpowiedzialność w przypadku fraudu jest ograniczona do równowartości 50 euro.

„Żeby autoryzować transakcję wystarczy tylko włożyć kartę. To niebezpieczne!”

Mój czytelnik – być może mniej, niż ja, dbający o wygodę zakupów, a bardziej o bezpieczeństwo pieniędzy na karcie – zauważył jednak, że są miejsca, w których – niezależnie od wartości transakcji – PIN-u się nie podaje. Konkretnie chodziło mu o samoobsługowy automat płatniczy na parkingu. I bardzo mu się to nie spodobało.

Klient złożył więc reklamację w swoim banku. „Dlaczego karta jest źle zabezpieczona?” – zapytał. A z odpowiedzi banku dowiedział się, że sprawa ma charakter systemowy.

A mianowicie: że ustawienia terminala płatniczego są regulowane umowami między usługodawcą (w tym przypadku operatorem parkingu), firmą rozliczającą transakcje oraz organizacją płatniczą. I że bank w tej sprawie nie może nic zrobić.

Bank wyjaśnia, że organizacje płatnicze w niektórych sytuacjach dopuszczają autoryzację transakcji bez potwierdzenia np. na autostradach, parkingach i wszędzie tam, gdzie szybkość płatności ma kluczowe znaczenie nie tylko z punktu widzenia klienta, ale również i usługodawcy oraz innych klientów.

Ustawienia terminala to w ogóle grubsza sprawa. Jakiś czas temu opisywałem na „Subiektywnie o finansach” zdziwienie jednego z czytelników, który płacił grubszy rachunek w restauracji i… też nie musiał podawać PIN-u, bo – jak wytłumaczył mu kelner – „terminal tak jest ustawiony”. Tamten klient też poczuł się nieswojo.

Czytelnik ma stresik. Czy uzasadniony? I co na to PSD2?

Tym razem mój czytelnik nie zadowolił się wyjaśnieniem działu reklamacji banku, lecz sprawdził jak sprawę braku autoryzacji PIN-em opisuje regulamin używania kart w jego banku. I przeczytał punkt 25.:

„W przypadku urządzenia akceptującego karty wyłącznie poprzez umieszczenie karty w urządzeniu, autoryzacja transakcji następuje wyłącznie poprzez fizyczne umieszczenie karty w urządzeniu”

A więc regulamin dopuszcza „autoryzację bez autoryzacji” lub – innymi słowy – potwierdzenie transakcji bez sprawdzenia czy klient zna PIN, a więc czy jest tym, za kogo się podaje. Wystarczy, że ma przy sobie kartę.

Taki sposób autoryzacji transakcji średnio zgadza się z tą częścią dyrektywy PSD2, która mówi o tzw. dwuskładnikowej autoryzacji. Ale czy marzenie mojego czytelnika o tym, by nikt nigdy już nie dopuścił do większej transakcji bez podania PIN-u może się ziścić? Operatorzy płatności będą musieli wprowadzić przynajmniej wyrywkowe sprawdzanie czy posiadacz karty jest tym, za kogo się podaje (np. co piąta transakcja zbliżeniowa poniżej 50 zł będzie się wiązała z koniecznością podania PIN).

Ale chyba nie będzie to dotyczyło automatow parkingowych. Tak przynajmniej rozumiem listę wyjątków w tym dokumencie organizacji płatniczej Visa, który opowiada o silnym uwierzytelnieniu (SCA). Tabelka na str. 8:

Ten system „bezpinowy” mojego czytelnika stresuje. Bo – gdyby on zgubił kartę (a przecież mógłby być wyjątkowo roztrzepany) i ktoś użyłby jej np. żeby zapłacić za parkowanie całej floty swoich aut – on nie mógłby mówić, że żąda zwrotu pieniędzy, bo transakcja nie została właściwie autoryzowana. Bank natomiast mógłby powiedzieć: „sorry, trzeba było pilnować karty, jest punkt regulaminu, który o tym mówi”.

Czytaj więcej: Masz kartę zbliżeniową i ktoś ci ją ukradł? Odpowiadasz tylko do równowartości 50 euro. Chyba, że bank…

Oczywiście: przy automatycznych punktach płatności zwykle jest monitoring, a usługodawcy nie wymagający podania PIN-u do karty biorą też większą odpowiedzialność za ewentualne złodziejskie transakcje. Trudno też zakładać, żeby ktoś chciał wykorzystać cudzą kartę do płatności na rzecz operatora parkingu.

Ale po części rozumiem stresik czytelnika. Na „usprawiedliwienie” systemu mam tylko to, że właścicielem każdej karty płatniczej jest bank-wydawca. Klient jest jedynie jej użytkownikiem, choć przecież to jego pieniądze są na tej karcie. Stąd trudno dziś jeszcze zakwestionować to „ograniczenie wolności kartowej”, które zakwestionował czytelnik.

Wygoda kontra bezpieczeństwo. A może powinniśmy móc wybrać samodzielnie?

Po erze wygody, w której żądaliśmy od usługodawców wyłącznie tego, żeby wszystko było „na jeden klik” a najlepiej, żeby wręcz działo się samo, nadchodzi era myślenia również o bezpieczeństwie. Część z nas będzie domagała się porządnych zabezpieczeń systemów i procedur przed złodziejami i oszustami, nawet kosztem wygody.

Dobrze byłoby, gdyby firmy, które dostarczają nam usługi – w tym firmy finansowe, np. banki – się na to przygotowały. To przegotowanie powinno polegać na tym, że klienci pragnący większego bezpieczeństwa mogą tak skonfigurować sobie dostęp do usługi, by był mniej wygodny, a za to bardziej potencjalnie niedostępny dla złych ludzi.

Przykładem dobrych praktyk jest pewna właściwość karty Revolut, którą można w każdej chwili – poprzez aplikację „włączyć”, „wyłączyć”, pozwolić jej działać np. tylko w bankomatach, albo tylko w internecie, albo tylko w transakcjach bezgotówkowych w fizycznym sklepie. Można ją też tak ustawić, by działała tylko w miejscu, w którym znajduje się klient (czytaj: jego aplikacja).

I o to chodzi: posiadacz usługi sam może decydować o jej poziomie bezpieczeństwa w konfrontacji z wygodą.

zdjęcie: Jarmoluk/Pixabay

10
Dodaj komentarz

avatar
6 Comment threads
4 Thread replies
1 Followers
 
Most reacted comment
Hottest comment thread
9 Comment authors
SebMkosomeoneMaciejanonymous Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
Lukas
Gość
Lukas

Warto zauważyć, że takie rozwiązania, jak płatność bez podania PIN-u nawet przy transakcji stykowej, są stosowane właśnie w miejscach, gdzie ryzyko fraudu jest znikome, żeby nie powiedzieć żadne. Z dwóch powodów: po pierwsze trudno ukraść przejazd autostradą w celu jego dalszej odsprzedaży, podobnie nie można ukraść i spieniężyć usługi parkowania, więc celowość takiego postępowania (narażanie się na odpowiedzialność karną dla znikomych korzyści) jest bardzo wątpliwa. Po drugie stosowane jest to w miejscach, gdzie – jak sam Pan zauważył – zazwyczaj jest dobry i niezawodny monitoring, który oczywiście można obejść (zakładając kominiarkę i używając w aucie skradzionych tablic rejestracyjnych), ale trudno… Czytaj więcej »

Paweł
Gość
Paweł

Ciekawy przypadek stanowią autostrady. Jeśli ktoś wie gdzie transakcje sa offlinowe to nawet zastrzeżoną kartą można zapłacić.

A bank księguje w debet i zostaje z niczym….

PeEsDeDwa
Gość
PeEsDeDwa

Ależ po 13. 09 dalej będzie bez PINu w tej sytuacji.

Bart
Gość
Bart

W USA w wielu sklepach płaciłem przeciągając kartę przez terminal nawet kwoty 70 USD nikt nigdy się o PIN nie pytał ze dwa razy kazali się podpisać na ekranie. Zastanawiałem się czy po powrocie mogę te wszystkie transakcje zareklamować 🙂

Paweł
Gość
Paweł

Tak. Zasadniczo reklamować można każdą transakcję na wyciągu i data najbliższego wyciągu to czas na weryfikację.

Przypuszczalnie Bank zweryfikuje logowania do bankowości internetowej, transakcje na innych kartach, zapyta inne banki czy miały podobne trx u siebie co klient reklamuje jako fraud.

Chyba też wizyta na Policji w.celu zgłoszenia fraudu.

Więc jak najbardziej można.

anonymous
Gość
anonymous

Pytanie czy taka płatność na bramkach autostradowych lub parkingowych jest traktowana jako operacja gotówkowa czy nie.

Maciej
Gość
Maciej

Bezgotówkowe. Zawsze płacę kredytówką. Zauważył bym to

someone
Gość
someone

Nie.

Mko
Gość
Mko

Lidl juz pokazał, że parking może kosztowac i 100 zl za godzinę, wiec problem nie musi byc błachy. Poza tym prowadzenie parkingu nie wymaga licencji, a parkingi na podworkach nie maja z reguły kamer itp. Wiec jeśli zlodziej/znalazca mieuczciwy równocześnie prowadzi (albo założy) miniparking, to może się szybko i latwo wzbogacić. A otrzymanie terminala od banku teraz jest tańsze i łatwiejsze niż kiedykolwiek

Seb
Gość
Seb

W markecie we Francji w zeszlym tygodniu zaplacilem 99 eur bezstykowo bez pinu. Na kilkanascie transakcji karta to moze ze 2 razy bylo pytanie o pin. Nigdy sprzedawca nie poporosil o podpis, choc na wydruku z terminala bylo miejsce przeznaczone na to.

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Zamknij
social-facebook social-feed social-google social-twitter social-instagram social-youtube social-linkedin social-rss